Báo cáo bài thực hành số 9 phân tích log hệ thống

Nếu không có tệp tin nào được chỉ định, grep sẽ đọc từ luồng tiêu chuẩn stdin, cho phép bạn chuyển dữ liệu từ một lệnh khác thành grep để tìm kiếm.. options : các tùy chọn để điều chỉnh

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

Môn học: THỰC TẬP CƠ SỞ BÁO CÁO BÀI THỰC HÀNH SỐ 9 Phân tích log hệ thống

Sinh viên thực hiện: Nguyễn Khắc Hưng

Mã sinh viên: B21DCAT099 Giảng viên: Ninh Thị Thu Trang

Số điện thoại:0974299896

~ Hà Nội, tháng 4/2024 ~

1

Mục lục

1 Mục đích 2

2 Tìm hiểu lý thuyết 2

2.1 Giới thiệu về lệnh grep 2

2.2 Giới thiệu về lệnh gawk 2

2.3 Giới thiệu về lệnh find 3

2.4 Giới thiệu về xhydra 3

3. Kết quả thực hành 4

3.1 Phân tích log sử dụng grep trong Linux 4

3.2 Phân tích log sử dụng gawk trong Linux 7

3.3 Phân tích log sử dụng find trong Windows 9

4. Tài liệu tham khảo 14

2

1.Mục đích

Bài thực hành này giúp sinh viên nắm được công cụ và cách phân tích log hệ thống, bao gồm:

1 Phân tích log sử dụng grep/gawk trong Linux

2 Phân tích log sử dụng find trong Windows

3 Tìm hiểu về Windows Event Viewer và auditing

4 Phân tích event log trong Windows

2 Tìm hiểu lý thuyết

2.1 Giới thiệu về lệnh grep

sử dụng để tìm kiếm và phân tích văn bản Nó cho phép bạn tìm kiếm một chuỗi ký tự trong một hoặc nhiều tệp tin hoặc luồng văn bản

grep [options] pattern [file ]

pattern : chuỗi ký tự bạn muốn tìm kiếm

file : tên của các tệp tin mà bạn muốn tìm kiếm Nếu không có tệp tin nào được chỉ định, grep sẽ đọc từ luồng tiêu chuẩn (stdin), cho phép bạn chuyển dữ liệu từ một lệnh khác thành grep để tìm kiếm

options : các tùy chọn để điều chỉnh hành vi của grep

Một số tùy chọn

-i: Cho phép tìm kiếm không phân biệt chữ hoa chữ thường

-v: In ra các dòng không chứa chuỗi ký tự tìm kiếm

-r: Tìm kiếm đệ quy trong tất cả các tệp và thư mục con

-n: Hiển thị số dòng của các dòng phù hợp

-c: Đếm số lần xuất hiện của chuỗi ký tự thay vì hiển thị các dòng tìm thấy

2.2 Giới thiệu về lệnh gawk

Lệnh “gawk” là một triển khai của công cụ xử lý văn bản và dòng lệnh awk, được

trình linh hoạt để thực hiện các tác vụ xử lý dữ liệu phức tạp trên các file văn bản

Cú pháp cơ bản của lệnh “gawk”:

gawk [options] 'pattern {action}' file pattern: Điều kiện để áp dụng action Nếu không có pattern, action sẽ được áp dụng cho mỗi dòng

3

action: Các hành động được thực hiện khi pattern được kích hoạt Nếu không

có action, mặc định sẽ là in ra dòng đó

file: Tệp tin đầu vào cho gawk Nếu không có tệp tin nào được chỉ định, gawk

sẽ sử dụng đầu vào từ stdin

Một số tùy chọn phổ biến:

-F: Sử dụng một chuỗi như là dấu phân cách giữa các trường

-f: Đọc các câu lệnh từ một tệp tin thực thi được chỉ định

-v: Đặt một biến awk với giá trị ban đầu

2.3 Giới thiệu về lệnh find

Lệnh "find” là một lệnh trong hệ thống Unix và Linux được sử dụng để tìm kiếm tệp tin và thư mục dựa trên các tiêu chí nhất định như tên tệp tin, quyền truy cập, thời gian sửa đổi, và nhiều tiêu chí khác

Cú pháp cơ bản của lệnh "find” :

find [path ] [options] [expression]

path: Đường dẫn mà bạn muốn bắt đầu tìm kiếm Nếu không chỉ định, mặc định sẽ là thư mục hiện tại

options: Các tùy chọn để điều chỉnh hành vi của find

expression: Các biểu thức để chỉ định tiêu chí tìm kiếm

Một số tùy chọn phổ biến:

-name: Tìm kiếm theo tên tệp tin

-type: Tìm kiếm theo loại tệp tin (vd: type f tìm kiếm tệp - tin, -type d tìm kiếm thư mục)

-hơn 10 megabytes)

tệp tin đã sửa đổi trước hơn 7 ngày)

-user: Tìm kiếm theo tên người dùng sở hữu tệp tin

-exec: Thực hiện một lệnh trên các tệp tin được tìm thấy (vd: -exec rm {} \; xóa tất cả các tệp tin được tìm thấy)

2.4 Giới thiệu về xhydra

XHydra là một giao diện đồ họa cho Hydra, một công cụ mạnh mẽ được sử dụng

để thực hiện các cuộc tấn công mật khẩu trên các dịch vụ mạng Hydra được sử dụng rộng rãi trong lĩnh vực bảo mật thông tin để kiểm tra độ mạnh mẽ của các hệ thống bằng cách thử mật khẩu

4

Hydra có thể được sử dụng để bẻ khóa mật khẩu, có thể được sử dụng cho nhiều loại tấn công trực tuyến, bao gồm cả các cuộc tấn công MySQL, SMB, FTP, MSSQL

và HTTP / HTTPS

3 Kết quả thực hành

-Cài đặt 1 máy ảo Kali linux làm máy Kali attack

-Cài đặt 1 máy ảo Ubuntu linux làm máy Ubuntu victim

3.1 Phân tích log sử dụng grep trong Linux

-Trên máy Kali attack trong mạng Internal, khởi chạy zenmap và scan cho địa chỉ 192.168.100.147(Máy Linux victim) và xem được port 80 đang mở cho Web Server Apache 2.4.52

Hình 3.1 Scan bằng zenmap trên máy Kali attack

- Trên máy Kali attack ở mạng Internal, truy cập địa chỉ web http://192.168.100.147 Trên terminal tiến hành sao chép website và tìm kiếm từ khóa “test”(root@bt:~#curl http://192.168.100.147| grep test)

5

Hình 3.2 Truy cập vào trang web apache của máy ubuntu

Hình 3.3 Sao chép website và tìm kiếm từ khóa “test”

- Trên máy Linux Internal Victim, để xem thư mục chứa access_log dùng lệnh: [root@rhel ~]# cd /var/log/apache2

6

Hình 3.4 Vào thư mục chứa log của apache2

- Khi đã mở được file access_log trên máy nạn nhân, dùng grep để lọc ra kết quả với một số từ khóa tìm kiếm ví dụ: Nmap, Firefox, curl,

Hình 3.5 Lọc thông tin bằng cách grep “nmap”

Hình 3.6 Lọc thông tin bằng cách grep “Firefox”

Hình 3.7 Lọc thông tin bằng cách grep “curl”

7

3.2 Phân tích log sử dụng gawk trong Linux

-Đảm bảo cổng dịch vụ ssh mở

- Trên máy Kali attack tiến hành remote vào máy Linux Internal Victim

Hình 3.8 Tiến hành ssh từ máy Kali Attack vào máy Linux Victim -Tạo một account mới với tên sinh viên và mật khẩu tùy chọn Sau đó tiến hành thay đổi mật khẩu cho tài khoản vừa tạo

8

Hình 3.9 Tạo một tài khoản mới

- Trên máy Linux Internal Victim, tiến hành xem file log

Hình 3.10 Đọc thông tin trong file auth.log

- Trên máy Kali attack, thông qua chế độ remote tiến hành tìm kiếm những người dùng vừa tạo bằng lệnh grep, và dùng lệnh gawk để in một hoặc nhiều dòng dữ liệu

9

tìm được

Hình 3.11 Sử dụng lệnh grep

Hình 3.12 Sử dụng lệnh gawk

3.3 Phân tích log sử dụng find trong Windows

-Tạo file password.txt

10

Hình 3.13 File lưu mật khẩu để rà quét

- Trên máy Kali External Attack khởi động #xhydra, chọn target là 10.10.19.202, giao thức ftp và cài đặt Password list, sau đó nhấn Start và chờ xHydra tìm ra mật khẩu

11

Hình 3.15 Tùy chỉnh Username và Password

12

Hình 3.16 Thành công login vào user Administrator

- Trên máy Windows 2019 Server External Victim, thực hiện điều hướng đến FTP

trữ file log)

-Chọn hiển thị tất cả các file log đang có và chọn 1 file mới nhất để mở ra (ngày tháng

có dạng yymmdd)

13

Hình 3.17 Đọc file log của ftp lưu lại

\Logfiles\FTPSVC2 > type u_ex240404.log | find “230”)

Hình 3.18 Lọc từ file log

14

4 Tài liệu tham khảo

-trang-thai-jobs-tren-linux-NzDWi.html

• https://tenten.vn/tin-tuc/lenh-find-trong-linux/

• https://linuxcommand.org/lc3_man_pages/grep1.html

• https://manpages.ubuntu.com/manpages/bionic/man1/hydra.1.html